如何利用AOP/Aspect来修改方法的入参

已于 2024-03-21 16:23:43 修改
阅读量4.6k 收藏 9
点赞数 9
文章标签: AOP Aspect
于 2024-03-13 14:40:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37892044/article/details/136676287
版权

问题描述:
最近项目代码过三方测试(国企项目),在一系列代码扫描审计检查下,代码发现一部分修改,例如请求参数发生了编码/加密,导致后台需要对请求的参数进行解码/解密,后端那么接口,总不能挨个,挨个的去修改。

由于之前项目中,已经用了AOP进行代码日志的记录,日志记录如下
在这里插入图片描述
原本代码的核心逻辑如下:因此想着,既然这里已经拿到请求参数了,直接在这里统一解码/加密,就不用对每个接口解码了

        MethodSignature ms = (MethodSignature) joinPoint.getSignature();
        methodApiOperation = ms.getMethod().getDeclaredAnnotation(ApiOperation.class);
        if (methodApiOperation != null) {
        	apiOperationDes = methodApiOperation.value();
        }
        logger.info("start-->请求{}模块的[{}]服务",apiDes, apiOperationDes);
        logger.info("  请求地址:{}",url);
        logger.info("  请求方法:{}.{}", abbreviateName(joinPoint.getSignature().getDeclaringTypeName()), methodName);
        Object[] args = joinPoint.getArgs();
        for (int i = 0; i < args.length; i++) {
        	if( !(args[i] instanceof StatHttpServletResponseWrapper)) {
        		logger.info("  请求参数{}:{}",i+1,JsonUtils.javaBeanToString(args[i]));
        	}
        }

修改思路1(利用Json格式化)(失败)

这里的请求参数是args 是Object类型,但是原始方法的请求类型肯定是各种自定的VO类
以解码html为例,我这里首先将Object[]挨个元素转成字符串,然后对整个字符串做html解码,将加码后的字符串,在创建一个新的对象赋joinPoint.getArgs的参数。结果发现修改并没有成功。

DecodeURL decodeURL = ms.getMethod().getDeclaredAnnotation(DecodeURL.class);
if(decodeURL != null) {
	Object[] args = joinPoint.getArgs();
	for (int i = 0; i < args.length; i++) {
	if( !(args[i] instanceof StatHttpServletResponseWrapper)) {
		String decode = StringEscapeUtils.unescapeHtml(JsonUtils.javaBeanToString(args[i]));
		logger.info("  解码Html请求参数{}",decode);
		//修改请求入参
		joinPoint.getArgs()[i] = JsonUtils.stringToJavaBean(decode, args[i].getClass());
		}
	}
}

代码执行逻辑是:

  1. 切面中记录请求参数-----》原始文本
  2. 切面中修改请求参数-----》修改后的文本
  3. 实际请求的controller-----》原始文本(也就是修改没有生效)
  4. 切面中调用请求参数-----》修改后的文本
    在这里插入图片描述

修改思路2(原始对象Set值)(有效,但没意义)

思路1中,我们是重新创建一个请求入参,然后把新的请求入参赋值给原始请求入参(Json格式化返回新的对象)
思路2,我们直接在原始的对象进行set值

DecodeURL decodeURL = ms.getMethod().getDeclaredAnnotation(DecodeURL.class);
if(decodeURL != null) {
	for (int i = 0; i < args.length; i++) {
	/*if( !(args[i] instanceof StatHttpServletResponseWrapper)) {
		String decode = StringEscapeUtils.unescapeHtml(JsonUtils.javaBeanToString(args[i]));
		logger.info("  解码Html请求参数{}",decode);
		//修改请求入参
		joinPoint.getArgs()[i] = JsonUtils.stringToJavaBean(decode, args[i].getClass());
	}*/
		if( (args[i] instanceof QueryResult)) {
			QueryResult query = (QueryResult)args[i];
			//修改请求入参
			query.setName(StringEscapeUtils.unescapeHtml(query.getName()));
		}
	}
}

此时查看实际的请求接口,发现值真的被修改了。
在这里插入图片描述
但是这里有个问题,上诉我是通过直接指定类型,然后强转类型,接着调用原对象的set方法,这是是我已知具体类型,具体字段,这样修改,我还不如直接找到原始的接口,在原来的接口里面修改。
AOP

QueryResult query = (QueryResult)args[i];
query.setName(StringEscapeUtils.unescapeHtml(query.getName()));

实际接口

@GetMapping
@DecodeURL
public void exportNxauto(HttpServletResponse response, QueryResult queryResult) {
	queryResult.setName(StringEscapeUtils.unescapeHtml(queryResult.getName()));
}

修改思路3(反射)

总结下思路1,思路1不用类型转换,也不用指定属性,格式化整个Json,然后对整个Json进行中文解码,但是转Json以后,导致重新创建了一个对象。思路2里面虽然没有创建新的对象,但是需要我们强制转化为某个类型,然后调用某个方式,实际请用场景,每个接口的入参的类型都不一样,具体是那个参数需要解码,所以也不知道调用那个Set方法。

Object[] args = joinPoint.getArgs();
for (int i = 0; i < args.length; i++) {
	if( !(args[i] instanceof StatHttpServletResponseWrapper)) {
    	logger.info("  请求参数{}:{}",i+1,JsonUtils.javaBeanToString(args[i]));
    }
}
ecodeURL decodeURL = ms.getMethod().getDeclaredAnnotation(DecodeURL.class);
if(decodeURL != null) {
	for (int i = 0; i < args.length; i++) {
		/*if( !(args[i] instanceof StatHttpServletResponseWrapper)) {
			String decode = StringEscapeUtils.unescapeHtml(JsonUtils.javaBeanToString(args[i]));
			logger.info("  解码Html请求参数{}",decode);
			//修改请求入参 失败:这里创建了一个新的对象,原始对象没有修改,修改的是新的对象。
			joinPoint.getArgs()[i] = JsonUtils.stringToJavaBean(decode, args[i].getClass());
		}*/
		/*if( (args[i] instanceof QueryResult)) {
			QueryResult query = (QueryResult)args[i];
			//修改请求入参 修改成功,但是太过于狭义,需要知道类型和具体的属性,然后调用Set方法
			query.setName();
		}*/
		if( !(args[i] instanceof StatHttpServletResponseWrapper)) {
			Class<? extends Object> classz = args[i].getClass();
			//使用反射改成功
			for (Field field : classz.getDeclaredFields()) {
				if(field.getType() == String.class) {
					ReflectionUtils.makeAccessible(field);
					Object value = field.get(args[i]);
					if(value != null) {
						ReflectionUtils.setField(field, args[i], StringEscapeUtils.unescapeHtml(value.toString()));
					}
				}else if (Collection.class.isAssignableFrom(field.getType())) {
				    // 字段是集合类型
				}else if (List.class.isAssignableFrom(field.getType())) {
				    // 字段是List类型
				}else if (field.getType().isArray()) {
				    // 字段是数组类型
				}else if (field.getType().isPrimitive()) {
				    // 字段是基本类型
				}
			}
		}
	}
}

接下来,我们看下运行的日志,可以看到,在我们的实际controller接口中,可以看到字符串类型的已经被html进行解码。
在这里插入图片描述

歪桃
关注
SpringBoot 使用【AOP 切面+注解】实现在请求调用 Controller 方法修改请求参数和在结果返回之前修改返回结果
赵士杰——成功并非一蹴而就,而是在持之以恒的努力中逐渐实现。
05-02 2709
SpringBoot 使用【AOP 切面+注解】实现在请求调用 Controller 方法修改请求参数和在结果返回之前修改返回结果
通过自定义注解、反射和AOP在Spring Boot中动态修改请求参数
最新发布
shiming8879的博客
09-02 875
首先,我们需要定义一个注解,用于标记哪些方法参数需要被AOP切面处理以动态修改请求参数。@Target({// 可以定义一些属性,如需要修改参数名、新的值等,这里简单起见,仅作为示例 String paramName() default "";@Target({// 可以定义一些属性,如需要修改参数名、新的值等,这里简单起见,仅作为示例 String paramName() default "";@Target({
Java AOP切面设置对象字段参数
小小爪哇工程师的博客
08-18 232
因为要实现的是插数据之前进行ID赋值,所以这里切点是insert开头的方法,以前置通知,拿到第一个参数,进行赋值。用的技术主要是Spring AOP 和 reflect 反射,具体原理可自行百度。本文实现insert方法自动给第一个参数的实体或者集合内的实体进行ID赋值。路径:127.0.0.1:8081/aop/test/insert。5.PostMan 测试。
AOP修改方法参数
05-12
AOP修改方法参数,如何截取指定方法参数修改参数
Java Spring 通过 AOP 实现方法参数的重新赋值、修改方法参数的取值
emmmm.....
10-23 4755
方式一:通过环绕通知实现 方式二:通过前置通知 + 反射实现
aop 获取参数修改返回值
qswdcs1的专栏
05-20 733
System.out.println("判断完成进方法执行:"+ (System.currentTimeMillis() - startTime) + "ms" + StringUtil.NEWLINE);System.out.println("判断完成进方法执行:"+(System.currentTimeMillis() - startTime) + "ms" + StringUtil.NEWLINE);// // 2.查询selectType。// 调用目标方法,并获取返回值。
Java | 使用切面AOP拦截并修改Controller接口请求参数
Andya_net的博客
06-29 6066
在开发过程中,会有一些需求将controller层的一些方法进行全量转换,最容易想到的可能是在调用下层service方法时,调用公共的方法进行转换,这时带来的唯一问题就是代码不雅观,比较冗余。那还有什么方法可以更优雅的解决这个问题吗?答案是有的:切面。我们实现一个AOP切面程序,对中的需转换的参数进行专项转换,而无需在各个controller层的各个方法中进行转换处理。
Spring中通过AOP+SPEL获取接口修改接口的值
qq_41625866的博客
01-02 3580
Spring中通过AOP+SPEL获取接口修改接口的值
Spring Aop 实现对mapper层进行重新赋值
thinkers
05-23 398
需要对mapper查询的的某个属性值进行特殊处理后查询。3,定义切面 MapperRequestDataAspect。不影响原来业务且方便扩展维护。6,在对应mapper层的对应方法加添加使用。4,定义指定业务指定处理逻辑。2,定义动态处理指定业务的接口。
SpringAOP面向切面编程。基于注解 的Around通知。在Controller实现切面日志功能,修改修改返回值
qq_43513957的博客
12-29 884
接口返回结果 :1122 ,对比第六行,多了100,因为【切面中修改了 返回值】接口返回结果 :116 ,对比第六行,多了100,因为【切面中修改了 返回值】我们定义的修改规则是 如果是Integer类型的返回值,则再加100返回。我们定义的修改规则是 如果是Integer类型的返回值,则再加100返回。第一行:切面 获取了 全限定类名, 类名,方法的修饰符,方法名称。第一行:切面 获取了 全限定类名, 类名,方法的修饰符,方法名称。第二行:切面 获取了 自定义的日志注解的值。第六行:接口打印返回值16。
通过aop、el表达式获取或者修改,管理不同用户的权限
gzc_870301的博客
02-23 611
先贴两个工具类: public class ExpressionRootObject { private final Object object; private final Object[] args; public ExpressionRootObject(Object object, Object[] args) { this.object = object; this.args = args; } public Objec.
简单的SpringMVC加注解AOP,改变传进的值
04-18
里面使用Spring3.0 MVC,简单的注解和AOP,AOP改变了传进来的值,写了一个自定义注解,可在任意类中使用,不过自定义注解要结合反射才有效果
aop 获取方法_Spring AOP 记录接口信息(获取接口,出)
weixin_39611008的博客
12-23 1840
需求:为系统中所有的提交,修改,删除等等操作做日志记录,记录的内容包括:请求参数,返回参数,如果报错就存储报错信息。日志要添加一个日志类型。因为有用到工具类,先放工具类吧import java.util.List;import com.fasterxml.jackson.core.JsonProcessingException;import com.fasterxml.jackson.databi...
aop 获取方法_Spring AOP获取请求URL的及返回值(通用方法)
weixin_29912207的博客
01-26 4710
以下代码为通用的代码,其中json解析使用的是fastJson,可以记录用户访问的ip、url、和出/*** @author jasonLu* @date 2017/10/26 9:57* @Description:获取请求和出*/@Component@Aspectpublic class RequestAspect {private static final Logger logg...
AOP实现对controller校验
w1171155814的专栏
08-29 1362
之前leader交给我一个校验controller的任务,最终代码不太符合要求,被废弃,特此把代码记录下来,便于以后整理,提高。 先讲一下怎么用,目前版本只需要在需要校验的controller方法上添加@Validate注解,处理类中会自动识别String和bean,bean类型,需要在对应字段上添加@Require,才会对字段进行非空校验。 废话不多说,先贴代码(先写个初版,待有时间整理...
Spring Aop详解(无和带)
asxyxxx的博客
09-26 591
AOPAspect Oriented Programming),即面向切面编程。利用一种称为"横切"的技术,剖解开封装的对象内部,并将那些影响了多个类的公共行为封装到一个可重用模块,并将其命名为"Aspect",即切面。所谓"切面",简单说就是那些与业务无关,却为业务模块所共同调用的逻辑或责任封装起来,便于减少系统的重复代码,降低模块之间的耦合度,并有利于未来的可操作性和可维护性。AOP的作用在于分离系统中的各种关注点,将核心关注点和横切关注点分离开来,比如权限认证、日志、事务等。
aop阻止方法运行_Aop实现拦截方法参数
weixin_34697798的博客
12-23 1144
对于spring框架来说,最重要的两大特性就是AOP和IOC。以前一直都知道有这两个东西,在平时做的项目中也常常会涉及到这两块,像spring的事务管理什么的,在看了些源码后,才知道原来事务管理也是用的AOP来实现的。对于IOC的话,平时接触的就更多了,什么autowired,resource各种注解,就是IOC的各种应用。一直我也想着能有机会自己动手写个aop的小DEMO,不过一直没机会,想到...
spring中的@aspectj切点表达式函数都有哪些_详解Spring AOP 中 @Aspect 的高级用法
weixin_40004502的博客
11-27 1524
1 切点复合运算支持在切点定义中加以下运算符进行复合运算:2 切点命名一般情况下,切点是直接声明在需要增强方法处,这种切点的声明方式称为匿名切点,匿名切点只能在声明处被使用 。 如果希望在其它地方可以重用这个切点,我们可以通过 @Pointcut 注解及切面类方法来命名它。public class NamePointcut { /** * 切点被命名为 method1,且该切点只能在本类中使用 ...
springMvc的Aop解析并修改参数
毅香雪海的博客
01-16 739
springMvc的Aop解析并修改参数
aop 自定义注解获取实体
05-29
要实现 AOP 自定义注解获取实体,可以按照以下步骤进行: 1. 定义注解:定义一个注解,用于标记需要被 AOP 拦截的方法。 2. 编写切面:编写一个切面,用于拦截被注解标记的方法,并获取方法参数。 3. 获取实体:在切面中获取方法参数,通过反射的方式获得实体。 下面是一个示例代码,假设我们需要获取被 @LogAnnotation 注解标记的方法的实体: 定义注解: ```java @Target(ElementType.METHOD) @Retention(RetentionPolicy.RUNTIME) public @interface LogAnnotation { String value() default ""; } ``` 编写切面: ```java @Component @Aspect public class LogAspect { @Around("@annotation(com.example.demo.annotation.LogAnnotation)") public Object around(ProceedingJoinPoint pjp) throws Throwable { // 获取方法参数 Object[] args = pjp.getArgs(); // 判断参数是否为实体类 for (Object arg : args) { if (arg instanceof BaseEntity) { // 获取实体 BaseEntity entity = (BaseEntity) arg; // TODO: 处理实体 } } // 执行方法 Object result = pjp.proceed(); return result; } } ``` 在上面的代码中,我们使用 @Around 注解标记了 around 方法,并指定了切点表达式 @annotation(com.example.demo.annotation.LogAnnotation),表示拦截被 @LogAnnotation 注解标记的方法。在 around 方法中,通过 ProceedingJoinPoint 对象获取方法参数,然后判断参数是否为实体类,如果是实体类,则获取实体,进行处理。 注意,在获取实体时,我们使用了 instanceof 判断参数是否为实体类,因此需要保证实体类继承了一个 BaseEntity 类或接口,否则无法判断参数是否为实体类。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值